[GTER] trafego estranho tvbox
Liandro Paulo Carniel - Portal Medianeira
liandro at medianeira.com.br
Wed Jun 19 14:07:18 -03 2019
Olá
Teria algum modelo de notificação a enviar para estes
clientes?
Penso que precisamos enviar algo nosso, mas deixando claro que
estamos sendo notificados pelas instâncias superiores
também.
------------------------------------------------------
Portal
Medianeira - Provedor TOP em Excelência
----------------------
Liandro Paulo Carniel - msn:
liandrocarniel at hotmail.com
Portal Medianeira Internet - (45)
3264-6107
www.medianeira.com.br
Concordo com o
Fernando.
Estamos listando os clientes aqui para enviar uma
notificação aos
mesmos.
Acredito que
além disso já está fugindo do
nosso escopo de ISP.
Quanto aos ataques, aconteceu o mesmo aqui
conosco.
Coincide o destino e os horários.
Wagner Junior
Em qua, 19 de jun de 2019 Ã s
10:46, BinaryCrash <binarycrash at gmail.com>
escreveu:
> Reativando a conversa, agora aconteceu comigo.
> Recebi
emails do CERT sobre ataque DDoS destinados a NFO, fui investigar
> e
> todos os ips de origem tinham em comum aqueles tvbox,
coloquei 1 no
> switch,
> bloqueei o destino NFO e deixei
monitorando os pacotes.
> Fez ataque nesta madrugada, com log,
gráfico e tudo documentado.
>
> Agora o que
fazer com estes clientes que tem TVBOX? Tem muitos.
>
Alguém comentou sobre substituir o firmware por outro da XDA,
acredito
> que
> deve estar falando do site
https://forum.xda-developers.com/android-tv/
> Alguma
recomendação pra resolver este abacaxi?
> O que testei foi o HTV e em casos que o cliente não
quer se desfazer do
> equipamento eu prefiro uma
atualização de firmware do que ficar com
> esse
> DDoS originando de vários clientes.
> Mas nunca fiz atualização de TVBOX, por
isso estou procurando ajuda
> aqui
> caso
alguém tenha informação e/ou
experiência pra compartilhar.
>
> Em qua, 20
de mar de 2019 Ã s 19:26, Wagner Bento
<wagner at seanet.com.br>
> escreveu:
>
> >
Coincide com dia 18/03 as 22:05 aqui também.
>
>
> >
> > Atenciosamente.
> > *Wagner
Junior*
> >
> > Em qua, 20 de mar de 2019
às 16:59, <projetos at dipelnet.com.br>
>
escreveu:
> >
> > > Estamos analisando o up de
outros ASNs o qual fornecemos links,
> > >
> >
> e o UP deles estão batendo com o mesmo
horário de pico anormal,
> caso
> > >
possam analisar o trafego de upload
> > >
> >
> na data de hoje entre as 13:50 as 13:55 e dia 18/03 as 22:05.
> > >
> > > Obrigado
> > >
> > > ---
> > >
> > >
ATENCIOSAMENTE,
> > > RICARDO TESSARO
> > >
> > > Em 2019-03-20 14:34, André Bellafronte
escreveu:
> > >
> > > > Fiz uma
verificação por amostragem e parece que a
maioria das
> ASN
> > desses
> > > >
endereços são de grandes provedores de
computação em nuvem
> (amazon e
> > ovh)
> > > >
> > > > Em qua,
20 de mar de 2019 Ã s 09:50, Wagner Bento <
>
wagner at seanet.com.br
> > >
> > > >
escreveu:
> > > >
> > > > E se o cara
está enviando seu UP por um link com menos banda? o
> que
> faz
> > > > numa
desgraça dessas?
> > > > Aqui chegou a quase
2gb de tráfego também...
> > >
>
> > > > Referente a Firewall, quais regras
vocês estão utilizando?
> Porque
> mesmo
> > > > negando no firewall as
conexões não estabelecidas de
fora,não
> resolve.
> > > > Abaixo,
a lista recente de IPs que também notamos estes
tráfegos
> > > > estranhos...
>
> > >
> > > > 34.235.125.83
> > >
> 18.224.17.220
> > > > 52.14.129.57
> >
> > 34.228.146.205
> > > > 18.221.17.60
>
> > > 3.17.4.144
> > > > 18.224.15.20
>
> > > 3.15.44.87
> > > > 3.17.1.14
>
> > > 13.59.12.22
> > > > 23.22.61.145
>
> > > 18.213.143.27
> > > > 18.222.34.57
> > > > 18.223.11.5
> > > >
34.235.135.35
> > > > 52.14.201.41
> > >
> 54.39.52.104
> > > > 100.25.29.73
> >
> > 144.217.181.56
> > > > 100.25.129.67
>
> > > 13.249.35.17
> > > > 147.135.77.120
> > > > 147.135.78.24
> > > >
147.135.79.32
> > > > 147.135.77.88
> > >
> 147.135.77.128
> > > > 147.135.78.128
> >
> > 147.135.77.192
> > > > 147.135.77.248
>
> > > 147.135.79.16
> > > > 147.135.79.239
> > > > 147.135.77.184
> > > >
3.17.19.16
> > > > 192.169.82.210
> > >
> 147.135.77.128/25
> > > > 3.92.195.128/25
>
> > > 52.9.85.15
> > > > 54.36.168.0/24
> > > > 35.168.23.0/24
> > > >
198.255.36.98
> > > > 192.169.81.78
> > >
> 3.17.8.45
> > > > 3.89.175.175
> > >
> 144.217.181.59
> > > > 34.201.15.39
> >
> > 18.212.168.64
> > > > 54.39.52.108
>
> > > 54.36.168.36
> > > > 54.36.168.180
> > > > 3.91.19.96
> > > > 147.135.40.88
> > > > 3.95.78.167
> > > > 54.39.52.105
> > > > 3.91.45.216
> > > > 54.39.52.106
> > > > 147.135.98.0/25
> > > >
18.214.39.126
> > > > 3.94.21.147
> > >
> 3.208.0.45
> > > > 3.89.188.155
> > >
> 147.135.37.128/25
> > > > 54.39.52.0/25
>
> > > 52.87.78.242
> > > > 3.94.237.134
> > > > 3.92.38.38
> > > > 3.91.172.100
> > > > 3.93.133.251
> > > >
34.205.45.178
> > > > 3.95.95.206
> > >
> 3.89.79.220
> > > > 34.201.26.160
> >
> > 34.200.18.38
> > > > 18.214.187.84
>
> > > 100.27.41.192
> > > > 3.89.16.241
> > > > 35.170.240.139
> > > >
35.168.23.118
> > > > 107.23.75.245
> > >
> 18.215.75.176
> > > > 100.24.97.245
> >
> > 52.2.241.126
> > > > 66.11.125.128/25
>
> > > 18.207.95.7
> > > > 13.52.133.52
>
> > > 13.52.136.190
> > > > 23.237.34.18
> > > >
> > > > Atenciosamente.
>
> > > *Wagner Junior*
> > > >
> >
> > Em qua, 20 de mar de 2019 Ã s 05:32, Jader Vieira da
Rosa <
> > > > jader at contato.net>
> >
> > escreveu:
> > > >
> > > > Aqui
também observamos upload de ~2Gbps em
direção aos ips
> > > >
162.254.202.107 <http://162.254.202.107:36001/>
> > >
> 162.254.202.125 <http://162.254.202.125:36001/>
> >
> >
> > > > Em ter, 19 de mar de 2019
às 18:31, Wagner Bento <
> wagner at seanet.com.br
> > >
> > > > escreveu:
> > >
>
> > > > Boa tarde... aqui em nossa rede
também já percebemos isso...
> >
> >
> > > > Não foi a primeira vez
que aconteceu, essas porcarias já vem com
>
botnet
> > > > instalado.
> > > > neste
último ocorrido, os destinos foram os IPS:
> >
> >
> > > > 162.254.202.107:36001
> >
> > 162.254.202.125:36001
> > > >
> >
> > Confirmamos agora a pouco com outro colega, também
aconteceu para
> os
> > > mesmos destinos e
porta.
> > > >
> > > >
Atenciosamente.
> > > > *Wagner Junior*
> >
> >
> > > > Em ter, 19 de mar de 2019
às 15:09, Doug R. M. <
> diagoatalnet at gmail.com
> > > > escreveu:
> > > >
> >
> > Salve galera,
> > > >
> > > >
Andei fuçando aqui e percebi que está sendo
originado um baita
> > > tráfego
>
> >
> > > > de saÃda da minha rede.
Olhando mais de perto notei que a bagaça
>
é
> com
> > > essas
> >
>
> > > >> caixinhas de iptv, essas biroscas tvbox.
Alguém mais notou isso?
> > > >> --
> > > >> gter list
https://eng.registro.br/mailman/listinfo/gter
> > > >
--
> > > > gter list
https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list
https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list
https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list
https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list
https://eng.registro.br/mailman/listinfo/gter
> >
>
--
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
gter list
https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list